<p>Auch v&ouml;llig unverd&auml;chtige und renommierte Webseiten k&ouml;nnen zur Verseuchung des besuchenden Rechners mit Viren oder Malware f&uuml;hren. Was bis vor kurzem noch technisch so gut wie unm&ouml;glich schien, ist mittlerweile Realit&auml;t. Ein Internet-Nutzer besucht die Webseite einer angesehenen Institution, z.B. die Seite einer Beh&ouml;rde, um dort nach den &Ouml;ffnungszeiten zu schauen und verl&auml;sst die Seite ohne auch nur einen Link anzuklicken. Dabei sollte doch eigentlich nichts passieren. Und doch wurde sein Rechner durch diese harmlose Aktivit&auml;t infiziert, ohne dass der Virenscanner Alarm geschlagen hat oder seine Firewall dagegen etwas ausrichten konnte.</p>
<!--break--><p>Erstmalig in gro&szlig;en Stil trat diese Form eines Hacker-Angriffs im Mai 2009 in Erscheinung. Als die Sicherheitsexperten von <a target="_blank" href="http://www.cert.org">CERT</a> vor einer Drive-by-Attacke warnten, die &uuml;ber manipulierte Google-Suchergebnisse Besucher-Rechner infizierte. Der Angriff wurde unter dem Namen Gumblar bekannt, da er seinen Ursprung auf der chinesischen Webseite www.gumblar.cn hatte.</p>
<p>Wenn der eigene Rechner infiziert wurde, konnte es passieren, dass Google-Ergebnisse nicht mehr zu den richtigen, sondern zu manipulierten Web-Seiten linkten. Dies liegt nicht an Google, denn die Manipulation erfolgt nur auf dem Computer des Besuchers und nicht bei Google selbst. Umgeleitet wird der User dann auf gef&auml;lschte Webseiten, beispielsweise von Banken oder Social Networks, wo die Besucher ihre Passw&ouml;rter eingeben sollten (die damit in die H&auml;nde der Hacker gelangten). Daneben kann aber auch das Lesen einer HTML-Mail, die sch&auml;dlichen Drive-by-Code enth&auml;lt zu einer Infektion f&uuml;hren. Gut, wenn der Mail-Client die Ausf&uuml;hrung zu verhindern wei&szlig;.</p>
<p>Der Ablauf der Gumblar-Attacke verlief in mehreren Phasen. Zun&auml;chst wurden mit Hilfe gestohlener FTP-Zugangsdaten oder &uuml;ber Sicherheitsl&uuml;cken von Webservern, Webseiten oder Javascript-Bibliotheken mit dem Schad-Code infiziert. Ruft ein Besucher nun eine derart infizierte Seite auf, so wird nebenher dieser Schad-Code aufgerufen. Mit Hilfe eines beteiligten Malware-Servers werden nun an dem Client (dem Besucherrechner) verschiedene Exploits ausprobiert. Hat einer dieser Angriffsversuche Erfolg, so schiebt der Malware-Server dem Client ein Kuckucksei in Form eines Malware-Downloads unter. Dieser Vorgang braucht weder das Zutun des Benutzers noch kann er von ihm verhindert werden. Da es sich bei dem eingesetzten Javascript um eine Plattform &uuml;bergreifende Technik handelt, ist gegen diese Infektionen kein Betriebssystem wirklich immun.</p>
<p>In der n&auml;chsten Phase belauscht die soeben installierte Malware die Netzwerk-Aktivit&auml;ten auf dem verseuchten Client-Rechner oder schneidet Tastatureingaben mit. Damit k&ouml;nnen beispielsweise Zugangsdaten f&uuml;r das Online-Banking oder andere sensible Informationen schnell in kriminelle H&auml;nde gelangen. Damit lie&szlig;en sich dann in der dritten Phase Gelder von fremden Konten &uuml;ber die &uuml;blichen Wege ins Ausland transferieren.</p>
<h3>Ausbreitung</h3>
<p>Die vier wichtigsten Infektionswege f&uuml;r Drive-by-Attacken sind derzeit:</p>
<ol>
<li>Infizierte Webserver durch Sicherheitsl&uuml;cken des Webservers /gestohlene FTP-Zugangsdaten</li>
<li>Inhalte, die durch Web-Besucher beigesteuert werden sowie</li>
<li>Extern eingebundene Widgets</li>
<li>Werbung die von externen Servern eingebunden wird.</li>
</ol>
<p>Wie man sieht r&uuml;hrt die Gefahr von Drive-by-Infektionen nicht unbedingt von Sicherheitsm&auml;ngeln des Webservers her. Vielmehr k&ouml;nnen es externe Inhalte sein, die auf der Webseite ohne hinreichende Pr&uuml;fung eingebunden werden. Vor allem Web-Dienste, die Uploads durch Benutzer zulassen, oder das Schreiben von Beitr&auml;gen wie Kommentaren erm&ouml;glichen, machen es den Angreifern mit mangelhaften Upload-Skripten und Formularen oft viel zu leicht.<br />
Eine weitere Gefahrenquelle kann extern eingeblendete Werbung sein, wenn der Werbeanbieter nicht sorgf&auml;ltig ist. Das gleiche gilt f&uuml;r Widgets (z.B. Besucherz&auml;hler) die von externen Anbietern bereitgestellt werden. Gegen solche Gefahren ist kein Webserver immun, denn es bedarf nicht einmal einer Sicherheitsl&uuml;cke auf dem betreffenden Webserver.</p>
<!--pagebreak--><h3>Jeder ist gef&auml;hrdet!</h3>
<p>Auf Client-Seite ist keineswegs nur das Betriebssystem oder der Browser gef&auml;hrdet. Zahlreiche Applikationen weisen Sicherheitsl&uuml;cken auf. Zwar wurden dies meist schon behoben, aber was hilft das, wenn der User nicht regelm&auml;&szlig;ig sein System mit den notwendigen Updates versieht. Hier eine kleine Auswahl gef&auml;hrdeter Applikationen:</p>
<ul>
<li>Adobe Flash Player</li>
<li>Adobe Reader</li>
<li>Apples Quicktime Player</li>
<li>Chrome (Google)</li>
<li>Firefox</li>
<li>Internet Explorer</li>
<li>Real Networks Realplayer</li>
<li>Safari</li>
<li>Winzip</li>
<li>und potenziell alle Applikationen die Javascript ausf&uuml;hren k&ouml;nnen!</li>
</ul>
<p>Besonders h&auml;sslich: ein von Microsoft <a target="_blank" href="http://www.pcwelt.de/start/sicherheit/sonstiges/news/198593/windows_upda... installiertes Firefox-Add-On</a> gestattet Webseiten die ungefragte Installation von .NET-Programmen!</p>
<p>Zu den verwundbarsten Betriebssystemen und Webbrowsern z&auml;hlen:</p>
<ul>
<li>Windows XP Service Pack 2 &amp; 3</li>
<li>Microsoft Internet Explorer 6 f&uuml;r Windows XP Service Pack 2,</li>
<li>Microsoft Windows Internet Explorer 7 f&uuml;r Windows XP SP2,</li>
</ul>
<p>Ein Update auf den Internet Explorer 8 ist daher dringend zu empfehlen, ein Update auf Vista - zumindest aus Sicherheitsgr&uuml;nden.</p>
<p>Mac OS X von Apple ist ab der Version 10.5.7 vom 12. Mai und Safari ab 4 Beta&nbsp;als sicher einzustufen. Leider hat Apple zahlreiche Sicherheitsl&uuml;cken nicht mehr in den &auml;lteren finalen Safari-Versionen geschlossen (d.h. Safari 2.x und 3.x).</p>
<p>Ebenfalls verwundbar war Chrome (1.x und 2.x), der mittlerweile durch Updates gepatched wurde. Und auch Firefox 3.0 ist ohne zus&auml;tzliche Plugins wie <a target="_self" href="http://www.auge.de/content/schwerwiegende-sicherheitsl%C3%BCcke-adobes-f..., <a target="_blank" href="http://toolbar.netcraft.com/">Netcraft Toolbar</a> o.&auml;. nicht immun.</p>
<h3>Fazit</h3>
<p>Angesichts der zahlreichen Schwachstellen der Internet-Browser, aber auch Plattform &uuml;bergreifender Applikationen wie Adobes Acrobat Reader oder Apples Quick Time sollten User dringend die folgenden Ratschl&auml;ge beherzigen:</p>
<ul>
<li>Regelm&auml;&szlig;ig Updates von Betriebssystem und allen Applikationen einspielen</li>
<li>Update f&uuml;r Web-Browser sofort installieren</li>
<li>Nicht standardm&auml;&szlig;ig die Ausf&uuml;hrung von Javascript im Browser gestatten - auch wenn dies zu Lasten des Komforts geht. Um auf einer Beh&ouml;rdenseite nach den &Ouml;ffnungszeiten zu schauen, sollte Javascript unn&ouml;tig sein</li>
<li>Ggf. Installation von zus&auml;tzlichen Sicherheits-Plugins oder Add-Ons f&uuml;r den Browser</li>
<li>E-Mails niemals als HTML ausf&uuml;hren lassen</li>
<li><a target="_self" href="/usermagazin/software/virenscanner-ueberblick-ueber-kostenlose-angebote">Virenscanner</a> installieren und diesen stets aktuell halten</li>
<li>Kritische Webseiten, wie die der Hausbank, nur durch direkte Eingabe der URL in die Adresszeile des Browsers aufrufen</li>
<li>Ggf. Browser innerhalb einer virtuellen Maschine ausf&uuml;hren (was zugegebenerma&szlig;en die Arbeit beeintr&auml;chtigen kann)</li>
<li>Nutzung einer Firewall-Software oder eines Routers mit Firewall-Funktionalit&auml;t</li>
</ul>
<p>Sicherheit hat ihren Preis. Sie geht vor allem zu Lasten des Komforts beim Surfen. Letztendlich muss also jeder f&uuml;r sich abw&auml;gen und entscheiden, wie viel Sicherheit er haben m&ouml;chte und wann der Komfort vorrangig ist.</p>
<p><em>Links:<br />
</em></p>
<p>CERT (englisch): http://www.cert.org/<br />
Technische Infos zum Ablauf einer Gumblar-Infektion (englisch): http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-a... />
NoScript Add-On f&uuml;r Firefox: https://addons.mozilla.org/de/firefox/addon/722<br />
Netcraft Toolbar (englisch):&nbsp;<a href="http://toolbar.netcraft.com/">http://toolbar.netcraft.com/</a><br />
Meldung auf Heise.de zu Malware-Seiten:&nbsp;<a href="http://www.heise.de/security/meldung/Google-veroeffentlicht-Top-10-der-M... />
AVG Internet Security: http://www.avg.com/de-de/startseite<br />
Avira Antiviren-Software:&nbsp;<a href="http://www.avira.com/de/index">http://www.avira.com/de/index</a></p>

Stichworte: